近年来,各证券经营机构已全部建立了电子化业务处理系统。但也正是由于证券市场的迅猛发展,在制度和措施上难以保证信息系统安全建设的规范管理,因而引发了一系列问题。
第一,各证券公司营业信息系统的建设水平参差不齐,部分证券公司营业部设施陈旧,技术管理不够规范。
我们知道,绝大多数证券公司营业部的系统是由DOS平台加上NOVELL或NT网络操作系统组成的,而真正的大户室的平台有99%都是DOS的。另外,证券公司营业部使用的股票分析软件几乎都是钱龙软件,钱龙软件也是基于DOS开发的,而一个不可否认的事实是DOS的安全级别很低,这样就使得证券公司的信息系统有很大的安全隐患。有相当一部分的黑客正是利用这一点非法攻击网络,肆意地进行破坏,如修改数据、窃取用户口令和权限、删除系统文件,使网络系统崩溃等,给证券公司造成了很大的损失。
案例之一就是发生在上海的“黑客”编程盗取证券信息的事件:1998年3月份,犯罪嫌疑人章重华与田毅经过观察发现某证券营业部底楼交易大厅有一电脑终端插口,离插口50厘米左右的墙下又有一个直径4厘米左右的排水孔可以利用,于是二人在某夜携带一便携式电脑来到该处,将连线一端接入电脑,另一端用铁丝绑扎好,插入该营业部电脑终端插口内,输入他们编制的一套程序,查看到证券营业部内的信息和密码系统,非法截取并复制了证券营业部上万户股民的地址、资金额度、证券种类、帐号及买卖记录。专家还发现他们编制的这套程序可替换证交所电脑正常运行系统,并能启动全部记录与操作命令,若一旦实施,后果将不堪设想。
第二个问题是各证券公司及营业部的网络管理人员的水平高低不一。
有很多网络管理员对计算机系统的安全性认识不足,管理上存在着重大漏洞。美国一家媒体在年初曾对98位网络管理人员作过一项调查,大约有47%的受访者未曾分析过他们的网络安全性如何。该调查得出的结论是:许多信息主管对网络安全性的认识有问题。
在IT业如此发达的美国尚有将近一半的网络管理人员对安全性认识不足,那么在IT业刚起步的中国,能够真正意识到网络安全的重要性的网管又有多少呢?我们曾作过调查,很多证券公司的网络管理存在安全漏洞,如超级用户没有地址限制、给某些用户分配的权限过大等,还有一个致命的通病,就是在证券公司营业部内有许多无口令用户,随意操纵计算机进行网上交易,等于给“黑客”作案打开了大门,黑客从此处入手,轻易得手就可攻破网络,窃取到一定的权限甚至是超级用户权限。而大多数网管并没有意识到这一点,甚至根本不相信有人能做到这一步。但事实是残酷的,越来越多的金融案件的发生已经向证券公司敲响了警钟。(待续)
 |
